Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, y otros
derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este
documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor,
u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito
de licencia de Microsoft.
Otros nombres de productos y compañías mencionados aquí pueden ser marcas comerciales de sus
respectivos propietarios.
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas iii
Introducción
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción La información de este módulo introduce la función de administrar el acceso
a los objetos de unidades organizativas. En concreto, el módulo proporciona los
conocimientos teóricos y prácticos que necesita a la hora de explicar los
permisos disponibles para administrar el acceso a los objetos del servicio
de directorio Active Directory®, para mover los objetos entre las unidades
organizativas del mismo dominio y delegar el control de una unidad
organizativa.
Objetivos Después de finalizar este módulo, el alumno será capaz de:
! Identificar la función de la unidad organizativa.
! Modificar los permisos de los objetos de Active Directory.
! Delegar el control de las unidades organizativas.
2 Módulo 7: Administrar el acceso a los objetos de las unidades organizativas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Ubicación del archivo Para ver la presentación La estructura de unidades organizativas, abra
la página Web del disco compacto Material del alumno, haga clic
en Multimedia y, a continuación, en el título de la presentación. No abra esta
presentación a menos que el instructor le pida que lo haga.
Objetivos Después de completar esta lección podrá explicar cómo se utilizan las unidades
organizativas para administrar objetos.
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas 3
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción Cada objeto de Active Directory tiene un descriptor de seguridad que define
qué cuentas tienen permiso de acceso al objeto y el tipo de acceso que tienen.
La familia Microsoft® Windows ServerTM 2003 utiliza estos descriptores de
seguridad para controlar el acceso a los objetos.
Objetivos de la lección Después de finalizar esta lección, el alumno será capaz de:
! Explicar qué son los permisos de objeto de Active Directory.
! Describir las características de los permisos de objeto de Active Directory.
! Describir la herencia de permisos en los objetos de Active Directory.
! Describir los efectos de modificar objetos en la herencia de permisos.
! Modificar los permisos de los objetos de Active Directory.
! Explicar qué son los permisos efectivos para los objetos de
Active Directory.
! Determinar los permisos efectivos de los objetos de Active Directory.
4 Módulo 7: Administrar el acceso a los objetos de las unidades organizativas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción Los permisos de objeto de Active Directory proporcionan seguridad para los
diferentes recursos existentes al permitir controlar qué administradores
o usuarios tienen acceso a objetos individuales o atributos de objeto, así como
el tipo de acceso permitido. Los permisos se utilizan para asignar privilegios
administrativos a una unidad organizativa o jerarquía de unidades organizativas,
con el fin de administrar el acceso a la red. También se pueden usar los
permisos para asignar privilegios administrativos sobre un único objeto
a un usuario o grupo específico.
Permisos estándar Los permisos estándar son los permisos concedidos con mayor frecuencia,
y especiales y se componen de una serie de permisos especiales. Los permisos especiales
proporcionan un mayor grado de control sobre el tipo de acceso que se puede
conceder sobre un objeto. Los permisos estándar deben incluir lo siguiente:
! Control total
! Escribir
! Leer
! Crear todos los objetos secundarios
! Eliminar todos los objetos secundarios
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas 5
Acceso autorizado Un administrador o el propietario del objeto deben conceder permisos sobre
según permisos dicho objeto para que los usuarios tengan acceso a él. La familia
Windows Server 2003 almacena una lista de permisos de acceso de los
usuarios, denominada lista de control de acceso discrecional (DACL,
Discretionary Access Control List), por cada objeto de Active Directory.
La lista DACL de un objeto enumera los usuarios que tienen acceso al objeto
y las acciones específicas que cada usuario puede realizar sobre el mismo.
Lectura adicional Para obtener más información sobre los permisos en Active Directory, consulte
“Best practices for assigning permissions on Active Directory objects”
en la dirección
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
prodtechnol/windowsserver2003/proddocs/datacenter/ACLUI_acl_BP.asp
(en inglés).
6 Módulo 7: Administrar el acceso a los objetos de las unidades organizativas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción Si bien los permisos NTFS (NTFS file system) y los permisos de objeto
de Active Directory son similares, algunas características son específicas de los
permisos de objetos de Active Directory. Los permisos de objeto de
Active Directory pueden concederse o denegarse, denegarse implícita o
explícitamente, establecerse como permisos estándar o especiales y definirse en
el nivel de objeto o heredarse de su objeto principal.
Conceder y denegar Los permisos se pueden conceder o bien denegar. Los permisos denegados
permisos tienen prioridad sobre cualquier otro permiso que se conceda a las cuentas
de usuario y de grupo. Sólo se deben denegar los permisos cuando sea necesario
quitar un permiso que un usuario tuviese concedido por ser miembro
de un grupo.
Permisos implícitos Se pueden denegar permisos implícita o explícitamente de la manera siguiente:
y explícitos
! Cuando no se concede explícitamente el permiso para realizar una
operación, se considera denegado implícitamente.
Por ejemplo, si el grupo Marketing tiene permiso Leer para un objeto
de usuario y no aparece ninguna otra entidad principal de seguridad
en la lista DACL para ese objeto, los usuarios que no sean miembros del
grupo Marketing tendrán denegado el acceso de forma implícita. El sistema
operativo no permite a los usuarios que no son miembros del grupo
Marketing leer las propiedades del objeto de usuario.
! Se deniega explícitamente un permiso cuando se desea impedir que
un subconjunto de un grupo más grande de usuarios pueda realizar una tarea
que el grupo de mayor tamaño tiene permiso para realizar.
Por ejemplo, puede ser necesario impedir que un usuario Don vea las
propiedades de un objeto de usuario. Sin embargo, Don es miembro del
grupo Marketing, con permiso para ver las propiedades del objeto
de usuario. Puede impedir que Don vea las propiedades del objeto
de usuario denegándole explícitamente el permiso Leer.
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas 7
Permisos estándar La mayoría de las tareas relativas a los permisos de objeto de Active Directory
y especiales pueden configurarse mediante permisos estándar. Estos permisos son los usados
más frecuentemente; sin embargo, si se necesita conceder un nivel más ajustado
de recursos, puede recurrirse a los permisos especiales.
Permisos heredados Cuando se establecen los permisos en un objeto principal, los nuevos objetos
heredan los permisos del objeto principal. Es posible quitar los permisos
heredados, pero también se pueden volver a habilitar si así se desea.
8 Módulo 7: Administrar el acceso a los objetos de las unidades organizativas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Ventajas de la herencia Un objeto principal es cualquier objeto que posea una relación con otro objeto,
de permisos al que se denomina objeto secundario. Un objeto secundario hereda los
permisos del objeto principal. La herencia de permisos en Active Directory
minimiza el número de ocasiones en las que es necesario conceder permisos
sobre objetos.
La herencia de permisos en Windows Server 2003 simplifica la tarea
de administrar los permisos de varias maneras:
! No es necesario aplicar permisos manualmente a los objetos secundarios
al crearlos.
! Los permisos aplicables a un objeto principal se aplican de forma coherente
a todos sus objetos secundarios.
! Cuando se requiere modificar los permisos de todos los objetos
de un contenedor, solo es necesario modificar los permisos del objeto
principal. Los objetos secundarios heredan automáticamente esos cambios.
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas 9
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción Modificar los objetos de Active Directory afecta a la herencia de permisos.
Como administrador de sistemas se le pedirá que mueva los objetos entre
distintas unidades organizativas de Active Directory cada vez que cambien las
funciones organizativas o administrativas. Al hacerlo, los permisos heredados
también cambiarán. Es un requisito esencial conocer estas consecuencias antes
de modificar los objetos de Active Directory.
Efectos de mover Al mover objetos entre unidades organizativas, las siguientes condiciones deben
objetos tenerse en cuenta:
! Los permisos que se establecen explícitamente permanecen iguales.
! Un objeto hereda los permisos de la unidad organizativa a la que se mueve.
! Un objeto no hereda los permisos de la unidad organizativa desde la cual
se ha movido.
Impedir la herencia Se puede impedir la herencia de permisos para que un objeto secundario
de permisos no herede los permisos de su objeto principal. Al impedir la herencia sólo
se aplicarán los permisos que se establezcan explícitamente.
Al impedir la herencia de permisos, la familia Windows Server 2003 permite:
! Copiar los permisos heredados en el objeto. Los nuevos permisos son
permisos explícitos para ese objeto. Son una copia de los permisos que
el objeto heredó anteriormente de su objeto principal. Después de copiar los
permisos heredados, se puede hacer cualquier cambio necesario en ellos.
! Quitar los permisos heredados del objeto. Al quitar estos permisos
se eliminan todos los permisos del objeto. A continuación se puede
conceder el permiso que se desee para ese objeto.
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas 11
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción Windows Server 2003 determina si un usuario está autorizado a usar un objeto
al comprobar los permisos concedidos al usuario sobre ese objeto, que aparecen
en la lista DACL. Al conceder o denegar permisos sobre un objeto esta
configuración anula los permisos heredados de un objeto principal.
Procedimiento para Para agregar permisos sobre un objeto:
agregar permisos
1. Si no está ya activada la opción Características avanzadas, vaya a Usuarios
y equipos de Active Directory y, en el menú Ver, haga clic
en Características avanzadas.
2. En el árbol de la consola, haga clic con el botón secundario del mouse
(ratón) en el objeto y después haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, en la ficha Seguridad, haga clic
en Agregar.
4. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos,
en el cuadro Escriba los nombres de objeto que desea seleccionar, escriba
el nombre del usuario o grupo al que desee conceder permisos y haga clic
en Aceptar.
Procedimiento para ver Los permisos estándar son suficientes para la mayoría de las tareas
permisos especiales administrativas. Sin embargo, puede que sea necesario ver los permisos
especiales que constituyen un permiso estándar.
Para ver los permisos especiales:
1. En el cuadro de diálogo Propiedades del objeto, en la ficha Seguridad,
haga clic en Opciones avanzadas.
2. En el cuadro de diálogo Configuración de seguridad avanzada, en la ficha
Permisos, haga clic en la entrada que desee ver y después haga clic
en Modificar.
3. Para ver los permisos de atributos específicos, en el cuadro de diálogo
Entrada de permiso, haga clic en la ficha Propiedades.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción Puede utilizar la herramienta Permisos efectivos para determinar cuáles son
los permisos de un objeto de Active Directory. La herramienta calcula los
permisos que se conceden al usuario o grupo especificado y toma en cuenta
los permisos en vigor como consecuencia de la pertenencia a grupos, así como
los permisos heredados de objetos principales.
Características Los permisos efectivos para los objetos de Active Directory tienen las
siguientes características:
! Los permisos acumulativos son una combinación de permisos de
Active Directory concedidos a las cuentas de usuario y de grupo.
! Los permisos denegados anulan a todos los permisos heredados. Los
permisos asignados explícitamente tienen siempre prioridad.
! Cada objeto tiene un propietario, ya se encuentre en un volumen NTFS
o en Active Directory. El propietario controla cómo se establecen los
permisos en el objeto y a quién se conceden.
El grupo Administradores es el propietario de los objetos predeterminados
de Active Directory. El propietario siempre puede cambiar los permisos de
un objeto, aun cuando él mismo tenga denegado el acceso al objeto.
El propietario actual puede conceder el permiso Tomar posesión a otro
usuario, el cual le permite asumir la propiedad de ese objeto en cualquier
momento. El usuario puede tomar posesión efectivamente para completar
la transferencia de la propiedad.
14 Módulo 7: Administrar el acceso a los objetos de las unidades organizativas
Recuperar permisos Para recuperar información sobre los permisos efectivos en Active Directory
efectivos necesita el permiso de lectura de la información de pertenencia a grupos.
Si el usuario o grupo especificado es un objeto de dominio, debe disponer
de permiso para leer la información de pertenencia del objeto en el dominio.
Los usuarios siguientes tienen los correspondientes permisos de dominio
predeterminados:
! Los administradores de dominio tienen permiso para leer la información
de pertenencia en todos los objetos.
! Los administradores locales de una estación de trabajo o servidor
independiente no pueden leer la información de pertenencia para un usuario
de dominio.
! Los usuarios autentificados de un dominio pueden leer la información
de pertenencia sólo cuando éste se encuentre en un modo de compatibilidad
anterior a Windows® 2000.
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas 15
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción Utilice el procedimiento siguiente para ver el registro de permisos efectivos
de los objetos de Active Directory.
Procedimiento Para ver el registro de permisos efectivos:
1. En Usuarios y equipos de Active Directory, en el árbol de la consola, vaya
hasta la unidad organizativa u objeto cuyos permisos efectivos desee ver.
2. Haga clic con el botón secundario del mouse en la unidad organizativa
u objeto y, a continuación, haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, en la ficha Seguridad, haga clic
en Opciones avanzadas.
4. En el cuadro de diálogo Configuración de seguridad avanzada, en la ficha
Permisos efectivos, haga clic en Seleccionar.
5. En el cuadro de diálogo Seleccionar Usuario, Equipo o Grupo, en Escriba
el nombre de objeto a seleccionar, escriba el nombre de un usuario
o grupo y haga clic en Aceptar.
Las casillas de verificación activadas indican los permisos efectivos del
usuario o grupo en ese objeto.
Lectura adicional Para obtener más información sobre los permisos efectivos, consulte “Effective
Permissions tool” en la dirección
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
prodtechnol/windowsserver2003/proddocs/datacenter/acl_effective_perm.asp
(en inglés).
16 Módulo 7: Administrar el acceso a los objetos de las unidades organizativas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Objetivo En este ejercicio, se ocupará de:
! Quitar los permisos heredados de la unidad organizativa de su ciudad.
! Documentar los cambios de seguridad efectuados en la unidad organizativa
de su ciudad.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción Active Directory permite administrar eficientemente los objetos delegando
el control administrativo sobre los mismos. Puede usar el Asistente para
delegación de control y las consolas personalizadas en Microsoft Management
Console (MMC) con el fin de conceder a usuarios específicos los permisos
necesarios para realizar diferentes tareas administrativas.
Objetivos de la lección Después de finalizar esta lección, el alumno será capaz de:
! Describir qué significa delegar el control de una unidad organizativa.
! Describir el propósito y función del Asistente para delegación de control.
! Delegar el control de una unidad organizativa mediante el Asistente para
delegación de control.
20 Módulo 7: Administrar el acceso a los objetos de las unidades organizativas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Definición La delegación de control es la capacidad de asignar la responsabilidad
de administrar los objetos de Active Directory a otro usuario, grupo
u organización. Al delegar el control se puede eliminar la necesidad de emplear
varias cuentas administrativas con amplios poderes.
Se pueden delegar los siguientes tipos de control:
! Permisos para crear o modificar todas las clases de objetos de una unidad
organizativa específica o en el nivel de dominio
! Permisos para crear o modificar ciertas clases de objetos en una unidad
organizativa específica o en el nivel de dominio
! Permisos para crear o modificar un objeto específico en una unidad
organizativa específica o en el nivel de dominio
! Permisos para modificar atributos específicos de ciertas clases de objetos en
una unidad organizativa específica o en el nivel de dominio, como conceder
el permiso para restablecer las contraseñas en una cuenta de usuario
¿Por qué delegar La administración delegada en Active Directory ayuda a hacer más liviana
el control la carga administrativa de dirigir la red, distribuyendo las tareas administrativas
administrativo? de rutina a varios usuarios. Mediante la administración delegada se pueden
asignar las tareas administrativas básicas a los usuarios o grupos habituales
y asignar las tareas administrativas para todo el dominio o bosque a los usuarios
de confianza del grupo Administradores del dominio y Administradores
empresariales.
Al delegar la administración se da a los grupos de la organización un mayor
control de sus recursos de red locales. También ayuda a proteger la red de daños
accidentales o intencionados limitando la pertenencia a los grupos
de administradores.
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas 21
Formas de definir Se puede definir la delegación del control administrativo de las tres formas
la delegación del control siguientes:
administrativo
! Cambiar las propiedades de un contenedor particular.
! Crear y eliminar objetos de un tipo específico en una unidad organizativa,
como usuarios, grupos o impresoras.
! Actualizar propiedades específicas de los objetos de un determinado tipo
en una unidad organizativa. Por ejemplo, se puede delegar el permiso
de establecer una contraseña en un objeto de usuario o en todos los objetos
de una unidad organizativa.
22 Módulo 7: Administrar el acceso a los objetos de las unidades organizativas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción El Asistente para delegación de control se utiliza para seleccionar el usuario
o grupo al que se desea delegar el control. También se usa el Asistente para
conceder a los usuarios permisos para controlar unidades organizativas
y objetos y para obtener acceso a objetos y modificarlos.
Delegar permisos Se puede usar el Asistente para delegación de control para conceder permisos
en el nivel de unidad organizativa. Se deben conceder manualmente los
permisos especializados adicionales en el nivel de objeto.
En Usuarios y equipos de Active Directory, haga clic con el botón secundario
del mouse en las unidades organizativas en las que desee delegar el control
y haga clic en Delegar control para iniciar el asistente. También puede
seleccionar la unidad organizativa y hacer clic en Delegar control en el menú
Acción.
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas 23
Opciones La tabla siguiente describe las opciones del Asistente para delegación
de control.
Opción Descripción
Usuarios o grupos Las cuentas de usuario o grupo en las que desea delegar
el control.
Tareas que se delegarán Lista de tareas comunes o la opción de personalizar una
tarea. Al seleccionar una tarea común, el asistente
resume sus selecciones para completar el proceso
de delegación. Al elegir personalizar una tarea,
el asistente presenta los tipos de objeto y permisos
de Active Directory para que elija.
Tipo de objeto de Todos los objetos, o bien sólo tipos específicos de objeto
Active Directory de la unidad organizativa especificada.
Permisos Los permisos que se van a conceder sobre el objeto
u objetos.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción Utilice el Asistente para delegación de control para conceder permisos
en el nivel de unidad organizativa. Se pueden conceder permisos para
administrar objetos o para administrar atributos específicos de dichos objetos.
El Asistente para delegación de control es el método preferido para delegar
el control, ya que reduce la posibilidad de efectos no deseados como
consecuencia de la asignación de permisos.
Procedimiento para Para delegar el control administrativo sobre tareas comunes:
delegar el control sobre
tareas comunes 1. Inicie el Asistente para delegación de control mediante los siguientes pasos:
a. En Usuarios y equipos de Active Directory, haga clic en la unidad
organizativa en la cual desee delegar el control.
b. En el menú Acción, haga clic en Delegar control.
2. En la página Éste es el Asistente para delegación de control, haga clic
en Siguiente.
3. En la página Usuarios o grupos, seleccione el usuario o grupo al que desee
conceder permisos y haga clic en Siguiente. Si no hay usuarios ni grupos
para seleccionar, haga lo siguiente:
a. Haga clic en Agregar.
b. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos,
en Escriba los nombres de objeto que desea seleccionar, escriba
el nombre de un usuario o grupo y haga clic en Aceptar.
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas 25
Procedimiento para Para delegar el control administrativo sobre una tarea personalizada:
delegar el control sobre
una tarea personalizada 1. Inicie el Asistente para delegación de control mediante los siguientes pasos:
a. En Usuarios y equipos de Active Directory, haga clic en la unidad
organizativa en la cual desee delegar el control.
b. En el menú Acción, haga clic en Delegar control.
2. En la página Éste es el Asistente para delegación de control, haga clic
en Siguiente.
3. En la página Usuarios o grupos, seleccione el usuario o grupo al que desee
conceder permisos y haga clic en Siguiente.
4. En la página Tareas que se delegarán, haga clic en Crear una tarea
personalizada para delegar y haga clic en Siguiente.
5. En la página Tipo de objeto de Active Directory, haga clic en Siguiente.
6. En la página Permisos, especifique el permiso que desee conceder
a la unidad organizativa o a sus objetos.
Se pueden seleccionar los siguientes tipos de permisos:
• General. Muestra los permisos usados más frecuentemente que están
disponibles para la unidad organizativa seleccionada o sus objetos.
• Específico de la propiedad. Muestra todos los permisos de atributo
aplicables al tipo de objeto.
• Creación o eliminación de objetos secundarios específicos. Muestra los
permisos necesarios para crear nuevos objetos en la unidad organizativa.
7. Haga clic en Siguiente.
8. En la página Finalización del Asistente para delegación de control, haga
clic en Finalizar.
26 Módulo 7: Administrar el acceso a los objetos de las unidades organizativas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Objetivo En este ejercicio, se ocupará de:
! Delegar el control de la unidad organizativa Equipos.
! Probar los permisos delegados para su unidad organizativa Equipos.
! Delegar el control de la unidad organizativa Usuarios.
! Probar los permisos delegados para su unidad organizativa Usuarios.
Situación Para distribuir la carga de trabajo entre los administradores, Northwind Traders
desea que los administradores sean capaces de realizar tareas específicas en sus
unidades organizativas designadas. Las tareas siguientes deben delegarse
en estas unidades organizativas:
! Unidad organizativa: Locations/NombreEquipo/Equipos
Tarea: Crear y eliminar cuentas de equipo en la unidad organizativa
! Unidad organizativa: Locations/NombreEquipo/Usuarios
Tarea: Restablecer contraseñas de usuario y forzar el cambio de contraseña
en el siguiente inicio de sesión
Tarea: Leer toda la información de los usuarios
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas 27
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Objetivos Después de completar esta práctica podrá administrar el acceso a los objetos
en las unidades organizativas.
Instrucciones Antes de comenzar esta práctica:
! Inicie sesión en el dominio mediante la cuenta NombreEquipoUser.
! Abra CustomMMC con el comando Ejecutar como.
Utilice la cuenta de usuario Nwtraders\NombreEquipoAdmin (ejemplo:
LondonAdmin).
! Asegúrese de que CustomMMC contiene Usuarios y equipos de
Active Directory.
Ejercicio 1
Delegar el control administrativo
En este ejercicio delegará el control administrativo de los objetos de una unidad organizativa.
Situación
Northwind Traders desea que todo el personal de TI pueda crear, eliminar y modificar los grupos
de todas las unidades organizativas de ciudad. Debe delegar la autoridad de su unidad organizativa
NombreEquipo para habilitar un grupo global denominado G NWTraders IT Personnel con
permisos para crear, eliminar y administrar grupos y para modificar la pertenencia a un grupo.
Ejercicio 2
Documentar la seguridad de un objeto creado en una unidad
organizativa
En este ejercicio documentará la configuración de seguridad del objeto creado en la unidad
organizativa delegada.
Situación
Acaba de crear muchos grupos en una unidad organizativa delegada y se le ha pedido que
documente los permisos heredados por uno de los grupos. Escriba la información en la siguiente
tabla para documentar los permisos del grupo.
1. Documentar los permisos " Anote los permisos especiales del grupo G NWTraders IT Personnel.
especiales de un grupo __________________________________
creado en una unidad
organizativa delegada. Crear objetos de grupo y eliminar objetos de grupo
THIS PAGE INTENTIONALLY LEFT BLANK